Há uma diferença significativa entre as CAs autônoma e corporativa e cada uma tem seu cenário de uso.
CAs corporativas
Este tipo de CAs oferece os seguintes recursos:
- forte integração com o Active Directory
Quando você instala a CA corporativa na floresta do AD, ela é publicada automaticamente no AD e cada membro da floresta do AD pode se comunicar imediatamente com a CA para solicitar certificados.
Modelos de certificado permitem que as empresas padronizem certificados emitidos por seus usos ou qualquer outra coisa. Os administradores configuram os modelos de certificado necessários (com as configurações apropriadas) e os colocam na CA para emissão. Os destinatários compatíveis não precisam se preocupar com a geração manual de solicitações, a plataforma CryptoAPI prepara automaticamente a solicitação de certificado correta, a envia à CA e recupera o certificado emitido. Se algumas propriedades da solicitação forem inválidas, a CA as substituirá pelos valores corretos do modelo de certificado ou do Active Directory.
- registro automático de certificado
é um recurso matador da Enterprise CA. O registro automático permite registrar automaticamente certificados para modelos configurados. Nenhuma interação do usuário é necessária, tudo acontece automaticamente (é claro, o registro automático requer configuração inicial).
esse recurso é subestimado pelos administradores de sistemas, mas é extremamente valioso como fonte de backup para certificados de criptografia de usuário. Se a chave privada for perdida, ela poderá ser recuperada do banco de dados da CA, se necessário. Caso contrário, você perderá o acesso ao seu conteúdo criptografado.
CA autônoma
Esse tipo de autoridade de certificação não pode utilizar os recursos fornecidos pelas autoridades de certificação corporativas. Isso é:
- Nenhum modelo de certificado
isso significa que todas as solicitações devem ser preparadas manualmente e devem incluir todas as informações necessárias para serem incluídas no certificado. Dependendo das configurações do modelo de certificado, a CA corporativa pode exigir apenas informações importantes, as demais informações serão recuperadas automaticamente pela CA. A autoridade de certificação autônoma não fará isso porque não possui fonte de informações. A solicitação deve estar literalmente completa.
- aprovação de solicitação de certificado manual
Como a CA autônoma não usa modelos de certificado, todas as solicitações devem ser verificadas manualmente por um gerente da CA para garantir que a solicitação não contenha informações perigosas.
- sem registro automático, sem arquivamento de chaves
Como a CA autônoma não requer o Active Directory, esses recursos estão desabilitados para esse tipo de CA.
Sumário
Embora possa parecer que a CA autônoma seja um beco sem saída, não é. As CAs corporativas são mais adequadas para emitir certificados para entidades finais (usuários, dispositivos) e foram projetadas para cenários de "alto volume e baixo custo".
Por outro lado, as CAs autônomas são mais adequadas para scnearios de "baixo volume e alto custo", incluindo os offline. As CAs autônomas geralmente são usadas para atuar como CA de raiz e política e emitem certificados apenas para outras CAs. Como a atividade do certificado é muito baixa, você pode manter a CA autônoma offline por um período razoável de tempo (6 a 12 meses) e ativar apenas para emitir uma nova CRL ou assinar um novo certificado de CA subordinado. Ao mantê-lo offline, você aprimora sua segurança principal. As práticas recomendadas sugerem nunca conectar CAs autônomas a nenhuma rede e fornecer boa segurança física.
Ao implementar a PKI em toda a empresa, você deve se concentrar em uma abordagem de PKI de duas camadas com a CA raiz autônoma offline e a empresa subordinada corporativa on-line que operam no seu Active Directory.